在“網吧ARP欺騙的原理及危害”一文中為大家介紹了ARP欺騙攻擊的原理以及危害程度，相信各位網絡管理員讀者都對ARP欺騙深表痛恨，希望能夠徹底的禁止該現象的發生。雖然筆者不是網吧管理員，但是也在單位負責五個機房共200臺計算機。

所以下面就根據筆者的經驗為大家介紹如何來防止ARP欺騙，文章所說的這些方法對網吧或普通局域網都是適用的。

企業可以通過發布網絡管理制度來禁止ARP欺騙問題的發生，發現有欺騙者和獎金等效益掛鉤。但是網吧不同于企業，來使用計算機和網絡的都是顧客，也就是“上帝”，我們不可能對他們的行為做過多的約束，所以唯一能做的就是從技術上盡最大可能約束和檢查ARP欺騙的來源。

一，sniffer檢測法：

sniffer是網絡管理的好工具，網絡中傳輸的所有數據包都可以通過sniffer來檢測。同樣arp欺騙數據包也逃不出sniffer的監測范圍。

一般來說ARP欺騙數據包沒有留下發送虛假信息的主機地址，但是承載這個ARP包的ethernet幀卻包含了他的源地址。而且正常情況下ethernet數據幀中，幀頭里的MAC源地址/目標地址應該和幀數據包中ARP信息配對，這樣的ARP包才算是正確的。如果不正確，肯定是假冒的包，當然如果匹配的話，我們也不能過于放松，一樣不能代表是正確的，另外通過檢測到的數據包再結合網關這里擁有的本網段所有MAC地址網卡數據庫，看看哪個和Mac數據庫中數據不匹配，這樣就可以找到假冒的ARP數據包，并進一步找到兇手了。

關于MAC地址網卡數據庫可以在第一次裝系統的時候進行記錄，將網吧座位號與MAC地址等信息做一個對應表格。查看MAC地址的方法是通過“開始->運行”，進入命令提示窗口，然后輸入ipconfig /all。在physical address的右邊就是相應網卡的MAC地址。

二，DHCP結合靜態捆綁法：

要想徹底避免ARP欺騙的發生，我們需要讓各個計算機的MAC地址與IP地址唯一且相對應。雖然我們可以通過為每臺計算機設置IP地址的方法來管理網絡，但是遇到那些通過ARP欺騙非法攻擊的用戶來說，他可以事先自己手動更改IP地址，這樣檢查起來就更加復雜了，所以說保證每臺計算機的MAC地址與IP地址唯一是避免ARP欺騙現象發生的前提。

（1）建立DHCP服務器保證MAC地址與IP地址唯一性：